Tải bản đầy đủ (.pdf) (15 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

CHỨNG CHỈ QUẢN TRỊ MẠNG LINUX - BÀI 7 pps

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (541.04 KB, 15 trang )

Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 224/271

BÀI 17
Linux Security
Tóm tắt
Lý thuyết: 10 tiết - Thực hành: 10 tiết.
Mục tiêu Các mục chính
Bài tập bắt
buộc
Bài tập làm
thêm
Bài học giới thiệu các
công cụ hỗ trợ cách
thiết lập Firewall trên
môi trường Linux như:
iptables, tcp_wrappers.
Sử dụng iptables để
thực thi các kỹ thuật
NAT, Routing.
I. Log File
II. Giới hạn user
III. Network security
Bài tập 7.1
(Linux
security)












Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 225/271

I. Log File
Một số file log chính trong hệ thống:
- File /var/log/messages: Chứa các thông tin log của hệ thống được daemon syslogd ghi nhận.
- File /var/log/secure : chứa các thông tin về login fail, add user,…
- File /var/log/wtmp lưu các log về logon/reboot thành công vào hệ thống(ta có thể sử dụng
last tool để xem thông tin này).
- File /var/run/utmp lưu các session hiện tại đang logon vào hệ thống(ta có thể dùng lệnh who,
w để xem thông tin này).
II. Giới hạn user
Thông qua tập tin /etc/nologin, ta có thể ngăn chặn việc login của user trong hệ thống trừ user
root.
Thư mục /etc/security/ cho phép người quản trị có thể giới hạn user CPU time, kích thước tối đa
của file, số kết nối vào hệ thống(file /etc/security/limits.conf).
/etc/security/access.conf để giới hạn việc login của user và nhóm từ 1 vị trí cụ thể nào đó.
Tham khảo về cú pháp của file /etc/security/limits.conf
<Domain> <type> <item> <value>
Trong đó:

<domain> :username, groupname(sử dụng theo cú pháp @groupname)
<type> : hard, soft.
<item>: core, data, fsize,…(ta tham khảo file /etc/security/limits.conf)
III. Network security
Linux phân chia Network security thành hai loại chính:
- Loại 1: host based security
- Loại 2: port based security
III.1. Host Based security
Tcp_wrappers cung cấp host based access control list cho nhiều loại network services như:
xinetd, sshd, portmap,…
Tcp_wrappers cung cấp hai file cấu hình /etc/hosts.allow và /etc/hosts.deny để ngăn chặn hoặc
cho phép các host request đến các dịch vụ trong hệ thống. Cú pháp của 2 file này như sau:
Service : hosts [EXCEPT] hosts
Ví dụ:
ALL: ALL EXCEPT .domain.com
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 226/271

III.2. Port based security
Linux kernel cho phép thực thi chức năng packet filtering trong hệ thống thông qua công cụ
iptables, ipchains.
III.2.1 Giới thiệu về iptables
Iptables do Netfilter organization viết ra để tăng tính năng bảo mật trên hệ thống Linux. Iptables
cung cấp các tính năng sau:
- Tích hợp tốt với kernel của Linux.
- Có khả năng phân tích package hiệu quả.
- Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header.
- Cung cấp chi tiết các tuỳ chọn để ghi nhận sự kiện hệ thống.

-
Cung cấp kỹ thuật NAT
- Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu từ chối dịch vụ(denial of service
(DoS) attacks)
III.2.2 Cài đặt iptables
Iptables được cài đặt mặc định trong hệ thống Linux, package của Iptables là iptables-1.2.9-
1.0.i386.rpm, ta có thể dung lệnh rpm để cài đặt package này:
Rpm –ivh iptables-1.2.9-1.0.i386.rpm
Khởi động iptables và xác định trạng thái của iptables
Cho phép iptables start vào thời điểm hệ thống khởi động:
#chkconfig iptables on
start/stop/restart dịch vụ DNS:
#service iptables restart
Xác
định trạng thái của iptables
#service iptables status
III.2.3 Cơ chế xử lý package trong iptables
Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host, quá trình kiểm tra này được
thực hiện một cách tuần tự từ entries đầu tiên đến entry cuối cùng.
Có ba loại bảng trong iptables:
- Mangle table: chịu trách nhiệm biến đổi quality of service bits trong TCP header. Thông
thường loại table này được ứng dụng trong SOHO.
- Filter queue: chịu trách nhiệm thiết lập bộ lọc packet(packet filtering), có ba loại built-in
chains được mô tả để
thực hiện các chính sách về firewall (firewall policy rules).
+ Forward chain: Lọc packets đi qua firewall.
+ Input chain: Lọc packets đi vào firewall.
+ Output chain: Lọc packets đi ra firewall.
- NAT queue: thực thi chức năng NAT, cung cấp hai loại build-in chains sau đây:
Hướng dẫn giảng dạy



Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 227/271

+ Pre-routing chain: NATs packets khi destination address của packet cần thay đổi (NAT
từ ngoài vào trong nội bộ).
+ Post-routing chain: NATs packets khi source address của packet cần thay đổi(NAT trừ
trong ra ngoài)
Loại hàng đợi
(Queue
Type)
Chức năng của
hàng đợi
(Queue
Function)
Thay đổi packet
trong hàng đợi
(Packet
transformation
chain in Queue)
Chức năng của Chain(Chain
Function)
Filter Packet filtering FORWARD Cho phép packet chuyển qua firewall
(Filters packets to servers accessible
by another NIC on the firewall)
INPUT Filters packets cho những gói tin đi
vào firewall (destined to the firewall)
OUTPUT Filters packets cho những gói tin đi
ra firewall (originating from the
firewall)

Nat Network Address
Translation
PREROUTING Quá trình NAT sẽ thực hiện trước
khi thực thi cơ chế routing. Điều này
thuật lợi trong việc thay đổi địa chỉ
đích(NAT trong ra ngoài) để địa chỉ
đích cơ thể tương thích với bảng
định tuyến của firewall, khi cấu hình
ta có thể dùng từ khoá DNAT để mô
tả cho kỹ thuật này.
POSTROUTING Quá trình NAT sẽ thực hiện sau quá
trình định tuyến. quá trình này ngụ ý
rằng ta không cần thay đổi địa chỉ
đích của packet, ta chỉ cần thay đổi
địa chỉ nguồn của packet. Kỹ thuật
này được gọi là NAT one-to-one
hoặc many-to-one. (được gọi là
source NAT, hoặc SNAT)
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 228/271

Loại hàng đợi
(Queue
Type)
Chức năng của
hàng đợi
(Queue
Function)

Thay đổi packet
trong hàng đợi
(Packet
transformation
chain in Queue)
Chức năng của Chain(Chain
Function)
OUTPUT Trong loại này firewall thực hiện quá
trình NAT
Mangle Thay đổi TCP
header
PREROUTING
POSTROUTING
OUTPUT
INPUT
FORWARD
Thay đổi quality of service bits của
TCP Header.

Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 229/271


Sơ đồ lưu chuyển packet trong iptables
III.2.4 Targets và Jumps
Targets là cơ chế hoạt động trong iptables dùng để nhận diện và kiểm tra packet.
Jump là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác.
Danh sách các target được xây dựng sẳn trong iptables:

Target Mô tả Những tuỳ chọn thông dụng
ACCEPT iptables chấp nhận chuyển data
đến đích.

DROP Iptables block packet.
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 230/271

Target Mô tả Những tuỳ chọn thông dụng
LOG Thông tin của packet sẽ gởi vào
syslog daemon
iptables tiếp tục xử lý luật tiếp theo
trong bảng mô tả luật.
Nếu luật cuối cùng không match thì
sẽ drop packet.
log-prefix "string"

(iptables sẽ ghi nhận lại những
messages bắt đầu bằng chuỗi
“string”).
REJECT Ngăn chặn packet và gởi thông
báo cho sender.
reject-with qualifier

(qualifier chỉ định loại reject
message sẽ được gởi lại cho người
gởi. các loại Qualifiers sau:
icmp-port-unreachable (default)

icmp-net-unreachable
icmp-host-unreachable
icmp-proto-unreachable
icmp-net-prohibited
icmp-host-prohibited
tcp-reset
echo-reply
DNAT Thay đổi địa chỉ đích của packet
(rewriting the destination IP
address of the packet)
to-destination ipaddress

(iptables sẽ thay thế địa chỉ đích
bằng địa chỉ ipaddress)
SNAT Thay đổi địa chỉ nguồn của packet to-source <address>[-
<address>][:<port>-<port>]

(Chỉ định địa chỉ nguồn và port
nguồn sẽ được sử dụng)
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 231/271

Target Mô tả Những tuỳ chọn thông dụng
MASQUERADE

Được sử dụng để thực hiện kỹ
thuật NAT ( giả mạo địa chỉ nguồn
với địa chỉ của firewall's interface)


[ to-ports <port>[-<port>]]

(Chỉ định dãy port nguồn ánh xạ với
dãy port ban đầu)

III.2.5 Thực thi lệnh trong iptables
Bảng mô tả về iptables command:
Iptables command
Switch
Mô tả(Description)
-t <table> Chỉ định bảng cho iptables bao gồm: filter,
nat, mangle tables.
-j <target> nhảy đến một target chain khi packet
thoả(phù hợp) luật hiện tại.
-A Đưa luật vào cuối iptables chain.
-F Xoá tất cả các luật trong bảng lựa chọn
-p <protocol-type> Mô tả các protocol bao gồm: icmp, tcp, udp,
and all
-s <ip-address> Chỉ định source IP address
-d <ip-address> Chỉ định destination IP address
-i <interface-name> Chỉ định "input" interface nhận packet.
-o <interface-name> Chỉ định "output" interface.
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 232/271


Ví dụ:

Firewall chấp nhận cho bất kỳ TCP packet đi vào interface eth0 đến địa chỉ 192.168.1.1
iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT
Đặt Firewall cho TCP packet ta tham khảo bảng mô tả sau:
Khoá chuyển(Switch) Mô tả(Description)
-p tcp sport <port> TCP source port:
Có thể chỉ định một giá trị hoặc một dãy giá trị
theo định dạng:
start-port-number:end-port-number
-p tcp dport <port> TCP destination port
Có thể chỉ định một giá trị hoặc một dãy giá trị
theo định dạng:
starting-port:ending-port
-p tcp syn Nhận diện TCP connection request mới

! syn không phải tcp connection request mới.
-p udp sport <port> UDP source port
Có thể chỉ định một giá trị hoặc một dãy giá trị
theo định dạng:
starting-port:ending-port
-p udp dport <port> UDP destination port
Có thể chỉ định một giá trị hoặc một dãy giá trị
theo định dạng:
starting-port:ending-port
Ví dụ:
Firewall chấp nhận TCP packet được định tuyến khi nó đi vào interface eth0 và đi ra interface
eth1 để đến đích 192.168.1.58 với port nguồn bắt đầu từ 1024 tới 65535 và port đích 80.
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP
Hướng dẫn giảng dạy



Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 233/271

sport 1024:65535 dport 80 -j ACCEPT
Đặt Firewall cho ICMP packet ta tham khảo bảng mô tả sau:
icmp-type Mô tả
icmp-type <type> Mô tả hai loại echo-reply và echo-request
Ví dụ: Firewall cho phép gởi icmp echo-request và icmp echo-reply.
iptables -A OUTPUT -p icmp icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp icmp-type echo-reply -j ACCEPT
Ví dụ:
Chỉ định số lượng yêu cầu phù hợp cho 1 đơn vị thời gian theo định dạng(/second, /minute, /hour,
/day)
iptables -A INPUT -p icmp icmp-type echo-request -m limit limit 1/s -i eth0 -j ACCEPT
Đặc điểm giới hạn số lượng connection này ta sẽ chống được các cơ chế tấn công theo kiểu như
SYN flood attacks và một số loại tấn công theo kiểu tấn công denial of service attack. Một số
thông số mở rộng khi mô tả luật:
Khoá chuyển(switch) Mô tả

-m multiport sport <port, port>

Mô tả nhiều dãy sport phải cách nhau
bằng dấu “,” và dùng tuỳ chọn –m
-m multiport dport <port, port>

Mô tả nhiều dãy dport phải cách nhau
bằng dấu “,” và dùng tuỳ chọn –m
-m multiport ports <port, port>

Mô tả dãy port phải cách nhau bằng dấu “,”
và dùng tuỳ chọn –m

-m state <state>

kiểm tra trạng thái:
ESTABLISHED: đã thiết lập connection
NEW: bắt đầu thiết lập connection
RELATED: thiết lập connection thứ
hai(FTP data transfer, hoặc ICMP error)
Ví dụ:
Firewall chấp nhận TCP packet(mô tả trong dòng 1) từ bất kỳ địa chỉ nào đi vào interface eth0
đến địa chỉ 192.168.1.58 qua interface eth1, source port từ 1024 tới 65535 và dest port là 80 và
443. Packet trả về(mô tả trong dòng 2) cũng được chấp nhận từ 192.168.1.58
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP sport 1024:65535 -m multiport
dport 80,443 -j ACCEPT
iptables -A FORWARD -d 0/0 -o eth0 -s 192.168.1.58 -i eth1 -p TCP -m state state ESTABLISHED -
j ACCEPT
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 234/271

III.2.6 Sử dụng Chain tự định nghĩa
Thay vì sử dụng các chain đã được xây dựng sẵn trong iptables, ta có thể sử dụng User Defined
chains để định nghĩa một chain name mô tả cho tất cả protocol-type cho packet. Ta có thể dùng
User Defined Chains thay thế chain dài dòng bằng cách sử dụng chain chính chỉ đến nhiều chain
con.
Ví du:

iptables -A INPUT -i eth0 -d 206.229.110.2 -j fast-input-queue
iptables -A OUTPUT -o eth0 -s 206.229.110.2 -j fast-output-queue


iptables -A fast-input-queue -p icmp -j icmp-queue-in
iptables -A fast-output-queue -p icmp -j icmp-queue-out

iptables -A icmp-queue-out -p icmp icmp-type echo-request
-m state state NEW -j ACCEPT
iptables -A icmp-queue-
in -p icmp icmp-type echo-reply -j ACCEPT

Chain Mô tả
INPUT Xây dựng INPUT chain trong iptables
OUTPUT Xây dựng OUTPUT chain trong iptables
fast-input-queue Input chain nhận diện các giao thức và
chuyển packet đến protocol trong chain
fast-output-queue Output chain nhận diện các giao thức và
chuyển packet đến protocol trong chain
icmp-queue-out Output cho ICMP
icmp-queue-in Input cho ICMP
III.2.7 Lưu iptables script
Lệnh service iptables save để lưu trữ cấu hình iptables trong file /etc/sysconfig/iptables khi ta
khởi động lại hệ thống thì chương trình iptables-restore sẽ đọc file script này và kích hoạt lại
thông tin cấu hình. Định dạng của file này như sau:
# Generated by iptables-save v1.2.9 on Mon Nov 8 11:00:07 2004
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [144:12748]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
Hướng dẫn giảng dạy



Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 235/271

-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp icmp-type 255 -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -m state state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state state NEW -m tcp dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Nov 8 11:00:07 2004
Trong Fedora ta có thể dùng lệnh sau để lưu script file cho iptables, #lokkit lưu cấu hình iptables
firewall vào trong file /etc/sysconfig/iptables
III.2.8 Phục hồi script khi mất script file.
Ta có thể thực hiện các lệnh sau đây để phục hồi script
# iptables-save > firewall-config
# cat firewall-config
# Generated by iptables-save v1.2.9 on Mon Nov 8 11:00:07 2004
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [144:12748]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp icmp-type 255 -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT

-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -m state state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state state NEW -m tcp dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Nov 8 11:00:07 2004
Sau đó sửa file firewall-config file, và nạp lại iptables thông qua lệnh iptables-restore
# iptables-restore < firewall-config
Cuối cùng ta dùng lệnh:
# service iptables save
Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 236/271

III.2.9 Load kernel module cần cho iptables
Ứng dụng iptables yêu cầu load một số module sau:
- iptable_nat module cho NAT.
- ip_conntrack_ftp module cần cho FTP support
- ip_conntrack module để theo dõi trạng thái của TCP connection.
- ip_nat_ftp module cần cho việc load FTP servers sau NAT firewall.
Nếu /etc/sysconfig/iptables file không hỗ trợ load các module thì ta sẽ thêm các mô tả (statement)
sau vào /etc/rc.local file để chạy chúng sau mỗi lần khởi động lại hệ thống.
# File: /etc/rc.local
# Module to track the state of connections
modprobe ip_conntrack
# Load the iptables active FTP module, requires ip_conntrack
modprobe ip_conntrack_ftp
# Load iptables NAT module when required
modprobe iptable_nat

# Module required for active an FTP server using NAT
modprobe ip_nat_ftp
III.2.10 M ột số ví dụ về firewall
Ví dụ 1:

Cho phép truy xuất DNS đến Firewall:
iptables -A OUTPUT -p udp -o eth0 dport 53 sport 1024:65535 -j ACCEPT
iptables -A INPUT -p udp -i eth0 sport 53 dport 1024:65535 -j ACCEPT
Ví dụ 2:

Cho phép WWW và SSH truy xuất tới Firewall
#
# Allow previously established connections
# - Interface eth0 is the internet interface
# iptables -A OUTPUT -o eth0 -m state state
ESTABLISHED,RELATED -j ACCEPT
#
# Allow port 80 (www) and 22 (SSH) connections to the firewall
#
iptables -A INPUT -p tcp -i eth0 dport 22 –sport 1024:65535 -m state state NEW -j ACCEPT

iptables -A INPUT -p tcp -i eth0 dport 80 sport 1024:65535 -m state state NEW -j ACCEPT

Ví dụ 3: Cho phép Firewall truy xuất Internet
#
# Allow port 80 (www) and 443 (https) connections from the firewall
#
Hướng dẫn giảng dạy



Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 237/271

iptables -A OUTPUT -j ACCEPT -m state state NEW,ESTABLISHED,RELATED -o eth0 -p tcp -m
multiport dport 80,443 -m multiport sport 1024:65535

#
# Allow previously established connections
# - Interface eth0 is the internet interface
#
iptables -A INPUT -j ACCEPT -m state state ESTABLISHED,RELATED -i eth0 -p tcp

Nếu ta muốn tất cả các TCP traffic bắt đầu từ Firewall được chấp nhận thì ta bỏ dòng:
-m multiport dport 80,443 -m multiport sport 1024:65535
Ví dụ 4: Cho phép mạng nội bộ truy xuất tới Firewall
# Allow all bidirectional traffic from your firewall to the
# protected network
# - Interface eth1 is the private network interface
#
iptables -A INPUT -j ACCEPT -p all -s 192.168.1.0/24 -i eth1
iptables -A OUTPUT -j ACCEPT -p all -d 192.168.1.0/24 -o eth1

III.2.11 Khắc phục sự cố trên iptables
Kiểm tra Firewall Logs

Firewall Logs được ghi nhận vào /var/log/messages file
Để cho phép iptables ghi log vào /var/log/messages ta phải cấu hình như sau:
#
# Log and drop all other packets to file /var/log/messages
# Without this we could be crawling around in the dark
#


iptables -A OUTPUT -j LOG
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG

iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP

Sau đây là một số ví dụ về log output file
Firewall denies replies to DNS queries (UDP port 53) đến server 192.168.1.102 trên home network.
Feb 23 20:33:50 bigboy kernel: IN=wlan0 OUT= MAC=00:06:25:09:69:80:00:a0:c5:e1:3e:88:08:00
SRC=192.42.93.30 DST=192.168.1.102 LEN=220 TOS=0x00 PREC=0x00 TTL=54 ID=30485
PROTO=UDP SPT=53 DPT=32820 LEN=200

Firewall denies Windows NetBIOS traffic (UDP port 138)

Hướng dẫn giảng dạy


Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 238/271

Feb 23 20:43:08 bigboy kernel: IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:06:25:09:6a:b5:08:00
SRC=192.168.1.100 DST=192.168.1.255 LEN=241 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=UDP SPT=138 DPT=138 LEN=221

Firewall denies Network Time Protocol (NTP UDP port 123)

Feb 23 20:58:48 bigboy kernel: IN= OUT=wlan0 SRC=192.168.1.102 DST=207.200.81.113 LEN=76
TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56

III.2.12 iptables không khởi động
Khi ta khởi động iptables thì ta dùng lệnh /etc/init.d/iptables start, lúc này iptables gọi iptables
startup script trong file /etc/sysconfig/iptables. Do đó nếu file này không tồn tại hoặc bị lỗi thì
iptables có thể không hoạt động được.
Khi ta thay đổi cấu hình trên iptables thì ta phải dùng lệnh service iptables save để lưu trữ lại các
thông tin cấu hình sau đó mới tiến hành restart lại iptables script file.
Ví dụ
:
# service iptables start
# touch /etc/sysconfig/iptables
# chmod 600 /etc/sysconfig/iptables
# service iptables save


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×